TR/Crypt.XPACK.gen im WinAmp Ordner entdeckt

Lokibri · 28.09.2012, 09:55

Hallo liebe Trojaner-Freunde,
ich habe gestern eine Anhäufung von Mails erhalten von Mailer-Daemon, dass ich mails gesendet hätte, die nicht angekommen seien. Daraufhin änderte ich sofort das PW und die Flut hörte auf, lediglich 1 Mail kam durch. Ich möchte nur kurz darauf verweisen an dieser Stelle:
http://www.trojaner-board.de/124791-...tml#post925795

Daraufhin wurde ich von einem anderen Forum hierher verwiesen, da es sich möglicherweise um einen Trojaner handele.

Ich aktualisierte per Hand nochmal mein AntiVir, der mir folgende Meldung nach dem Suchlauf brachte.

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 28. September 2012  04:27


Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows 7 Professional
Windowsversion : (Service Pack 1)  [6.1.7601]
Boot Modus     : Normal gebootet
Benutzername   : Mein Name
Computername   : LOKIBRI-DESK

Versionsinformationen:
BUILD.DAT      : 13.0.0.2677    48277 Bytes  24.09.2012 15:12:00
AVSCAN.EXE     : 13.4.0.178    625440 Bytes  24.09.2012 08:59:25
AVSCANRC.DLL   : 13.4.0.163     64800 Bytes  19.09.2012 17:20:53
LUKE.DLL       : 13.4.0.163     66848 Bytes  19.09.2012 17:16:01
AVSCPLR.DLL    : 13.4.0.184     93984 Bytes  28.09.2012 01:40:54
AVREG.DLL      : 13.4.0.180    245536 Bytes  24.09.2012 11:05:45
avlode.dll     : 13.4.0.184    418080 Bytes  28.09.2012 01:40:54
avlode.rdf     : 13.0.0.24       7196 Bytes  28.09.2012 01:40:54
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 13:50:29
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:50:31
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 13:50:34
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 13:50:36
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 13:50:37
VBASE005.VDF   : 7.11.34.116  4034048 Bytes  29.06.2012 13:42:40
VBASE006.VDF   : 7.11.41.250  4902400 Bytes  06.09.2012 13:42:40
VBASE007.VDF   : 7.11.41.251     2048 Bytes  06.09.2012 13:42:40
VBASE008.VDF   : 7.11.41.252     2048 Bytes  06.09.2012 13:42:40
VBASE009.VDF   : 7.11.41.253     2048 Bytes  06.09.2012 13:42:40
VBASE010.VDF   : 7.11.41.254     2048 Bytes  06.09.2012 13:42:40
VBASE011.VDF   : 7.11.41.255     2048 Bytes  06.09.2012 13:42:40
VBASE012.VDF   : 7.11.42.0       2048 Bytes  06.09.2012 13:42:40
VBASE013.VDF   : 7.11.42.1       2048 Bytes  06.09.2012 13:42:40
VBASE014.VDF   : 7.11.42.65    203264 Bytes  09.09.2012 13:42:40
VBASE015.VDF   : 7.11.42.125   156672 Bytes  11.09.2012 13:42:40
VBASE016.VDF   : 7.11.42.171   187904 Bytes  12.09.2012 13:42:40
VBASE017.VDF   : 7.11.42.235   141312 Bytes  13.09.2012 13:42:40
VBASE018.VDF   : 7.11.43.35    133632 Bytes  15.09.2012 13:42:40
VBASE019.VDF   : 7.11.43.89    129024 Bytes  18.09.2012 13:42:40
VBASE020.VDF   : 7.11.43.141   130560 Bytes  19.09.2012 17:02:38
VBASE021.VDF   : 7.11.43.187   121856 Bytes  21.09.2012 07:40:42
VBASE022.VDF   : 7.11.43.251   147456 Bytes  24.09.2012 08:56:45
VBASE023.VDF   : 7.11.44.43    152064 Bytes  25.09.2012 01:40:50
VBASE024.VDF   : 7.11.44.103   165888 Bytes  27.09.2012 01:40:50
VBASE025.VDF   : 7.11.44.104     2048 Bytes  27.09.2012 01:40:51
VBASE026.VDF   : 7.11.44.105     2048 Bytes  27.09.2012 01:40:51
VBASE027.VDF   : 7.11.44.106     2048 Bytes  27.09.2012 01:40:51
VBASE028.VDF   : 7.11.44.107     2048 Bytes  27.09.2012 01:40:51
VBASE029.VDF   : 7.11.44.108     2048 Bytes  27.09.2012 01:40:51
VBASE030.VDF   : 7.11.44.109     2048 Bytes  27.09.2012 01:40:51
VBASE031.VDF   : 7.11.44.120    20480 Bytes  27.09.2012 01:40:51
Engineversion  : 8.2.10.176
AEVDF.DLL      : 8.1.2.10      102772 Bytes  19.09.2012 13:42:55
AESCRIPT.DLL   : 8.1.4.56      459131 Bytes  24.09.2012 13:06:58
AESCN.DLL      : 8.1.9.2       131444 Bytes  28.09.2012 01:40:53
AESBX.DLL      : 8.2.5.12      606578 Bytes  28.08.2012 15:58:06
AERDL.DLL      : 8.1.9.15      639348 Bytes  27.08.2012 13:50:15
AEPACK.DLL     : 8.3.0.36      811382 Bytes  19.09.2012 13:42:55
AEOFFICE.DLL   : 8.1.2.48      201082 Bytes  24.09.2012 13:06:59
AEHEUR.DLL     : 8.1.4.104    5280119 Bytes  24.09.2012 13:06:58
AEHELP.DLL     : 8.1.24.0      258423 Bytes  28.09.2012 01:40:53
AEGEN.DLL      : 8.1.5.38      434548 Bytes  28.09.2012 01:40:52
AEEXP.DLL      : 8.2.0.2       115060 Bytes  28.09.2012 01:40:53
AEEMU.DLL      : 8.1.3.2       393587 Bytes  19.09.2012 13:42:55
AECORE.DLL     : 8.1.28.2      201079 Bytes  28.09.2012 01:40:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  27.08.2012 13:50:12
AVWINLL.DLL    : 13.4.0.163     25888 Bytes  19.09.2012 17:09:30
AVPREF.DLL     : 13.4.0.163     50464 Bytes  19.09.2012 17:07:51
AVREP.DLL      : 13.4.0.163    177952 Bytes  19.09.2012 17:08:15
AVARKT.DLL     : 13.4.0.163    260384 Bytes  19.09.2012 17:05:20
AVEVTLOG.DLL   : 13.4.0.163    167200 Bytes  19.09.2012 17:06:15
SQLITE3.DLL    : 3.7.0.1       397088 Bytes  19.09.2012 17:17:40
AVSMTP.DLL     : 13.4.0.163     62240 Bytes  19.09.2012 17:08:54
NETNT.DLL      : 13.4.0.163     15648 Bytes  19.09.2012 17:16:26
RCIMAGE.DLL    : 13.4.0.163   4780832 Bytes  19.09.2012 17:21:16
RCTEXT.DLL     : 13.4.0.163     68384 Bytes  19.09.2012 17:21:16

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: D:\Tools\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 28. September 2012  04:27

Der Suchlauf über die Masterbootsektoren wird begonnen:

Der Suchlauf über die Bootsektoren wird begonnen:

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'svchost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '97' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '72' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '133' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'AUDIODG.EXE' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '90' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Fuel.Service.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'hamachi-2.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'DAODx.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '167' Modul(e) wurden durchsucht
Durchsuche Prozess 'BJMYPRT.EXE' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '71' Modul(e) wurden durchsucht
Durchsuche Prozess 'SetPoint.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'VDeck.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'nusb3mon.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'CNMNSUT.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'G35.exe' - '77' Modul(e) wurden durchsucht
Durchsuche Prozess 'KHALMNPR.EXE' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '58' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '78' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '134' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchFilterHost.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '104' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '18' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '65' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '33' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1047' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Windows\winsxs\amd64_microsoft-windows-s..iuminboxgames-chess_31bf3856ad364e35_6.1.7600.16385_none_d0c99374981840d5\Chess.dll
  [WARNUNG]   Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
Beginne mit der Suche in 'D:\'
D:\Spiele\Heroes of Newerth\HoNClient-2.1.0.2.exe
  [WARNUNG]   Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
D:\Spiele\Heroes of Newerth\game\maps\test.s2z
  [WARNUNG]   Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
D:\Spiele\Heroes of Newerth\game\maps\test_simple.s2z
  [WARNUNG]   Mögliche Archivbombe: die maximale Komprimierungsrate wurde überschritten.
    D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2\bin\A0C5F695-4F8C-4464-9CF7-0FCEA60B7996
      [1] Archivtyp ZIP
      --> s
          [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
          [WARNUNG]   Infizierte Dateien in Archiven können nicht repariert werden
D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2\bin\A0C5F695-4F8C-4464-9CF7-0FCEA60B7996
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen

Beginne mit der Desinfektion:
D:\Spiele\Steam\SteamApps\common\left 4 dead 2\left4dead2\bin\A0C5F695-4F8C-4464-9CF7-0FCEA60B7996
  [FUND]      Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
  [WARNUNG]   Die Datei wurde ignoriert.


Ende des Suchlaufs: Freitag, 28. September 2012  10:26
Benötigte Zeit:  1:15:58 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  44435 Verzeichnisse wurden überprüft
 1154343 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1154342 Dateien ohne Befall
   4781 Archive wurden durchsucht
      5 Warnungen
      0 Hinweise
 532114 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Anschließend befolgte ich die Anleitung für Malwarebytes und führte einen Quick-Scan durch mit folgendem Ergebnis:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Datenbank Version: v2012.09.28.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Nico :: LOKIBRI-DESK [Administrator]

28.09.2012 10:31:04
mbam-log-2012-09-28 (10-31-04).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 200361
Laufzeit: 2 Minute(n), 41 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Die OTL-Dateien:

Code:

ATTFilter

OTL logfile created on: 28.09.2012 10:58:27 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\***\Downloads
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
8,00 Gb Total Physical Memory | 5,74 Gb Available Physical Memory | 71,82% Memory free
15,99 Gb Paging File | 13,52 Gb Available in Paging File | 84,53% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 47,82 Gb Total Space | 3,10 Gb Free Space | 6,48% Space Free | Partition Type: NTFS
Drive D: | 649,81 Gb Total Space | 405,05 Gb Free Space | 62,33% Space Free | Partition Type: NTFS
Drive E: | 7,04 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: LOKIBRI-DESK | User Name: ***| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.09.28 10:58:12 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Nico\Downloads\OTL.exe
PRC - [2012.09.21 09:43:34 | 000,386,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Tools\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.09.19 19:17:07 | 000,084,256 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Tools\Avira\AntiVir Desktop\sched.exe
PRC - [2012.09.19 19:06:42 | 000,108,320 | ---- | M] (Avira Operations GmbH & Co. KG) -- D:\Tools\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.09.11 20:31:26 | 000,388,576 | ---- | M] (Mozilla Corporation) -- D:\Tools\Thunderbird\thunderbird.exe
PRC - [2012.09.09 13:12:22 | 000,917,984 | ---- | M] (Mozilla Corporation) -- D:\Tools\Firefox\firefox.exe
PRC - [2012.09.09 13:12:21 | 000,016,864 | ---- | M] (Mozilla Corporation) -- D:\Tools\Firefox\plugin-container.exe
PRC - [2012.09.07 17:04:44 | 000,981,656 | ---- | M] (Malwarebytes Corporation) -- D:\Tools\Malwarebytes' Anti-Malware\mbam.exe
PRC - [2012.06.23 22:31:03 | 001,535,176 | ---- | M] (Adobe Systems, Inc.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_3_300_262.exe
PRC - [2012.05.09 03:23:15 | 000,075,136 | ---- | M] () -- C:\Windows\SysWOW64\PnkBstrA.exe
PRC - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2010.10.05 09:32:58 | 001,811,800 | ---- | M] (Logitech(c)) -- D:\Tools\Headset\G35.exe
PRC - [2010.01.22 12:29:40 | 000,106,496 | ---- | M] (NEC Electronics Corporation) -- C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe
PRC - [2009.05.19 17:11:52 | 000,136,544 | ---- | M] (CANON INC.) -- C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe
PRC - [2009.03.30 08:32:40 | 000,032,768 | R--- | M] () -- C:\Windows\DAODx.exe
PRC - [2009.03.05 16:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- D:\Tools\Spybot - Search & Destroy\TeaTimer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.11 20:31:26 | 002,061,280 | ---- | M] () -- D:\Tools\Thunderbird\mozjs.dll
MOD - [2012.09.11 20:31:26 | 000,157,664 | ---- | M] () -- D:\Tools\Thunderbird\nsldap32v60.dll
MOD - [2012.09.11 20:31:26 | 000,021,984 | ---- | M] () -- D:\Tools\Thunderbird\nsldappr32v60.dll
MOD - [2012.09.09 13:12:22 | 002,244,064 | ---- | M] () -- D:\Tools\Firefox\mozjs.dll
MOD - [2012.06.23 22:31:03 | 009,459,912 | ---- | M] () -- C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll
MOD - [2009.03.30 08:32:40 | 000,032,768 | R--- | M] () -- C:\Windows\DAODx.exe
 
 
========== Services (SafeList) ==========
 
SRV:64bit: - [2012.04.06 04:16:02 | 000,236,544 | ---- | M] (AMD) [Disabled | Stopped] -- C:\Windows\SysNative\atiesrxx.exe -- (AMD External Events Utility)
SRV:64bit: - [2012.04.05 21:57:34 | 000,361,984 | ---- | M] (Advanced Micro Devices, Inc.) [Auto | Running] -- C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe -- (AMD FUEL Service)
SRV:64bit: - [2009.07.14 03:40:01 | 000,193,536 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\SysNative\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.20 09:11:28 | 000,529,744 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files (x86)\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2012.09.19 19:17:07 | 000,084,256 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Tools\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.09.19 19:06:42 | 000,108,320 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- D:\Tools\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.08.29 12:03:36 | 002,369,960 | ---- | M] (LogMeIn Inc.) [Auto | Running] -- D:\Tools\Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - [2012.05.09 03:23:15 | 000,075,136 | ---- | M] () [Auto | Running] -- C:\Windows\SysWOW64\PnkBstrA.exe -- (PnkBstrA)
SRV - [2011.07.08 07:38:02 | 002,528,096 | ---- | M] (COMODO) [Auto | Running] -- D:\Tools\Firewall Comodo\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdagent)
SRV - [2011.06.17 09:34:18 | 000,359,192 | ---- | M] (Logitech, Inc.) [On_Demand | Stopped] -- C:\Programme\Common Files\Logishrd\Bluetooth\LBTServ.exe -- (LBTServ)
SRV - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2010.03.18 13:16:28 | 000,130,384 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe -- (clr_optimization_v4.0.30319_32)
SRV - [2009.06.10 23:23:09 | 000,066,384 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe -- (clr_optimization_v2.0.50727_32)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012.09.24 09:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avkmgr.sys -- (avkmgr)
DRV:64bit: - [2012.09.13 15:52:59 | 000,129,576 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avipbb.sys -- (avipbb)
DRV:64bit: - [2012.09.13 15:52:59 | 000,099,248 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\SysNative\drivers\avgntflt.sys -- (avgntflt)
DRV:64bit: - [2012.04.06 07:22:40 | 011,174,400 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmdag.sys -- (amdkmdag)
DRV:64bit: - [2012.04.06 03:10:44 | 000,343,040 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\atikmpag.sys -- (amdkmdap)
DRV:64bit: - [2012.03.01 08:46:16 | 000,023,408 | ---- | M] (Microsoft Corporation) [Recognizer | Boot | Unknown] -- C:\Windows\SysNative\drivers\fs_rec.sys -- (Fs_Rec)
DRV:64bit: - [2011.10.17 19:40:50 | 000,093,712 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\AtihdW76.sys -- (AtiHDAudioService)
DRV:64bit: - [2011.08.01 20:02:00 | 000,088,480 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\atksgt.sys -- (atksgt)
DRV:64bit: - [2011.08.01 20:02:00 | 000,046,400 | ---- | M] () [Kernel | Auto | Running] -- C:\Windows\SysNative\drivers\lirsgt.sys -- (lirsgt)
DRV:64bit: - [2011.04.30 13:59:32 | 000,042,776 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LUsbFilt.sys -- (LUsbFilt)
DRV:64bit: - [2011.04.30 13:59:22 | 000,066,840 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LHidFilt.Sys -- (LHidFilt)
DRV:64bit: - [2011.04.30 13:59:22 | 000,060,184 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\LMouFilt.Sys -- (LMouFilt)
DRV:64bit: - [2011.03.11 08:41:12 | 000,107,904 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsata.sys -- (amdsata)
DRV:64bit: - [2011.03.11 08:41:12 | 000,027,008 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\amdxata.sys -- (amdxata)
DRV:64bit: - [2010.11.20 15:33:35 | 000,078,720 | ---- | M] (Hewlett-Packard Company) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\HpSAMD.sys -- (HpSAMD)
DRV:64bit: - [2010.11.20 13:07:05 | 000,059,392 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV:64bit: - [2010.09.29 11:34:50 | 000,377,176 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ladfSBVMamd64.sys -- (LADF_SBVM)
DRV:64bit: - [2010.09.29 11:34:48 | 000,062,168 | ---- | M] (Logitech) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ladfDHP2amd64.sys -- (LADF_DHP2)
DRV:64bit: - [2010.03.02 13:30:20 | 001,301,504 | ---- | M] (VIA Technologies, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\viahduaa.sys -- (VIAHdAudAddService)
DRV:64bit: - [2010.02.18 09:18:24 | 000,046,136 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\amdiox64.sys -- (amdiox64)
DRV:64bit: - [2010.02.09 05:42:14 | 000,325,664 | ---- | M] (Realtek                                            ) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\Rt64win7.sys -- (RTL8167)
DRV:64bit: - [2010.01.22 12:22:22 | 000,180,224 | ---- | M] (NEC Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3xhc.sys -- (nusb3xhc)
DRV:64bit: - [2010.01.22 12:22:18 | 000,077,824 | ---- | M] (NEC Electronics Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\nusb3hub.sys -- (nusb3hub)
DRV:64bit: - [2009.07.16 05:38:40 | 000,015,416 | ---- | M] () [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\ASACPI.sys -- (MTsensor)
DRV:64bit: - [2009.07.14 03:52:20 | 000,194,128 | ---- | M] (AMD Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\amdsbs.sys -- (amdsbs)
DRV:64bit: - [2009.07.14 03:48:04 | 000,065,600 | ---- | M] (LSI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\lsi_sas2.sys -- (LSI_SAS2)
DRV:64bit: - [2009.07.14 03:45:55 | 000,024,656 | ---- | M] (Promise Technology) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\stexstor.sys -- (stexstor)
DRV:64bit: - [2009.07.14 02:39:20 | 000,023,040 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WSDPrint.sys -- (WSDPrintDevice)
DRV:64bit: - [2009.07.14 02:35:37 | 000,025,088 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\WSDScan.sys -- (WSDScan)
DRV:64bit: - [2009.06.10 22:35:36 | 000,867,328 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\netr28ux.sys -- (netr28ux)
DRV:64bit: - [2009.06.10 22:34:33 | 003,286,016 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\evbda.sys -- (ebdrv)
DRV:64bit: - [2009.06.10 22:34:28 | 000,468,480 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\bxvbda.sys -- (b06bdrv)
DRV:64bit: - [2009.06.10 22:34:23 | 000,270,848 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\b57nd60a.sys -- (b57nd60a)
DRV:64bit: - [2009.06.10 22:31:59 | 000,031,232 | ---- | M] (Hauppauge Computer Works, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\hcw85cir.sys -- (hcw85cir)
DRV:64bit: - [2009.03.18 16:35:42 | 000,033,856 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\hamachi.sys -- (hamachi)
DRV - [2012.03.05 16:04:30 | 000,053,888 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Stopped] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.1)
DRV - [2012.03.05 16:04:30 | 000,053,888 | ---- | M] (Advanced Micro Devices) [Kernel | Auto | Running] -- C:\Programme\ATI Technologies\ATI.ACE\Fuel\amd64\aoddriver2.sys -- (AODDriver4.01)
DRV - [2009.07.14 03:19:10 | 000,019,008 | ---- | M] (Microsoft Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\wimmount.sys -- (WIMMount)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "www.google.de"
FF - prefs.js..extensions.enabledAddons: battlefieldheroespatcher@ea.com:5.0.145.0
FF - prefs.js..extensions.enabledAddons: firegestures@xuldev.org:1.6.16
FF - user.js - File not found
 
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_3_300_262.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_262.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files (x86)\Java\jre7\bin\new_plugin\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Tools\acrobat Reader\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Components: D:\Tools\Firefox\components [2012.09.09 13:12:22 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 4.0.1\extensions\\Plugins: D:\Tools\Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: D:\Tools\Thunderbird\components [2012.06.18 16:28:49 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: D:\Tools\Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: D:\Tools\Firefox\components [2012.09.09 13:12:22 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: D:\Tools\Firefox\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 15.0.1\extensions\\Components: D:\Tools\Thunderbird\components [2012.06.18 16:28:49 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 15.0.1\extensions\\Plugins: D:\Tools\Thunderbird\plugins
 
[2011.05.24 15:02:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions
[2011.05.24 15:02:41 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.07.23 21:32:58 | 000,000,000 | ---D | M] (No name found) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\or5ozdik.default\extensions
[2012.07.23 21:32:58 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Users\***\AppData\Roaming\mozilla\Firefox\Profiles\or5ozdik.default\extensions\battlefieldheroespatcher@ea.com
[2012.04.03 13:44:18 | 000,140,964 | ---- | M] () (No name found) -- C:\Users\***\AppData\Roaming\mozilla\firefox\profiles\or5ozdik.default\extensions\firegestures@xuldev.org.xpi
 
O1 HOSTS File: ([2009.06.10 23:00:26 | 000,000,824 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts
O2:64bit: - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll File not found
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Tools\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4:64bit: - HKLM..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe (CANON INC.)
O4:64bit: - HKLM..\Run: [COMODO Internet Security] D:\Tools\Firewall Comodo\COMODO\COMODO Internet Security\cfp.exe (COMODO)
O4:64bit: - HKLM..\Run: [EvtMgr6] D:\Tools\Logitech Treiber\SetPointP\SetPoint.exe (Logitech, Inc.)
O4 - HKLM..\Run: [avgnt] D:\Tools\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe (VIA)
O4 - HKLM..\Run: [IJNetworkScanUtility] C:\Program Files (x86)\Canon\Canon IJ Network Scan Utility\CNMNSUT.exe (CANON INC.)
O4 - HKLM..\Run: [Logitech G35] D:\Tools\Headset\G35.exe (Logitech(c))
O4 - HKLM..\Run: [NetStat Live] D:\Tools\AnalogX\NetStat Live\nsl.exe File not found
O4 - HKLM..\Run: [NUSB3MON] C:\Program Files (x86)\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe (NEC Electronics Corporation)
O4 - HKLM..\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (Advanced Micro Devices, Inc.)
O4 - HKCU..\Run: [SpybotSD TeaTimer] D:\Tools\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] D:\Tools\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Users\Nico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech blank Produktregistrierung.lnk =  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Tools\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 10.1.0)
O16 - DPF: {CAFEEFAC-0017-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_01-windows-i586.cab (Java Plug-in 1.7.0_01)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5F8352EF-D91D-499A-A0A9-35E2A4F6191E}: DhcpNameServer = 192.168.1.1 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FCA53BB5-2683-4AA4-9C65-4DF39EC7CF5D}: DhcpNameServer = 192.168.1.1 192.168.1.1
O20:64bit: - AppInit_DLLs: (C:\Windows\system32\guard64.dll) - C:\Windows\SysNative\guard64.dll (COMODO)
O20 - AppInit_DLLs: (C:\Windows\SysWOW64\guard32.dll) - C:\Windows\SysWOW64\guard32.dll (COMODO)
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (userinit.exe) - C:\Windows\SysWow64\userinit.exe (Microsoft Corporation)
O20:64bit: - Winlogon\Notify\LBTWlgn: DllName - (c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll) - c:\Programme\Common Files\Logishrd\Bluetooth\LBTWLgn.dll (Logitech, Inc.)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.08.10 05:18:37 | 000,000,044 | R--- | M] () - E:\autorun.inf -- [ UDF ]
O33 - MountPoints2\{1878ab0c-85fd-11e0-9661-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{1878ab0c-85fd-11e0-9661-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Setup.exe -- [2012.08.10 05:18:37 | 000,355,208 | R--- | M] (Valve Corporation)
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.09.28 03:44:25 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Roaming\Avira
[2012.09.28 03:39:01 | 000,129,576 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2012.09.28 03:39:01 | 000,099,248 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2012.09.28 03:39:01 | 000,027,800 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
[2012.09.28 03:38:58 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2012.09.25 20:19:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft.NET
[2012.09.22 17:22:32 | 000,033,856 | -H-- | C] (LogMeIn, Inc.) -- C:\Windows\SysNative\hamachi.sys
[2012.09.22 17:22:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Hamachi
[2012.09.22 17:13:36 | 000,000,000 | ---D | C] -- C:\Users\***\AppData\Local\LogMeIn Hamachi
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.09.28 10:29:10 | 000,000,712 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.28 03:44:13 | 000,019,040 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.09.28 03:44:13 | 000,019,040 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.09.28 03:36:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.09.28 03:36:50 | 2146,050,047 | -HS- | M] () -- C:\hiberfil.sys
[2012.09.25 20:21:34 | 001,513,638 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.09.25 20:21:34 | 000,653,928 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.09.25 20:21:34 | 000,615,810 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.09.25 20:21:34 | 000,129,800 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.09.25 20:21:34 | 000,106,190 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.09.25 17:56:08 | 000,279,279 | ---- | M] () -- C:\Users\***\Desktop\9783797502117.pdf
[2012.09.25 17:37:13 | 000,000,208 | ---- | M] () -- C:\Users\***\Desktop\Borderlands 2.url
[2012.09.24 09:58:11 | 000,027,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avkmgr.sys
[2012.09.22 17:22:31 | 000,000,609 | ---- | M] () -- C:\Users\Public\Desktop\LogMeIn Hamachi.lnk
[2012.09.21 15:25:18 | 000,000,209 | ---- | M] () -- C:\Users\***\Desktop\Torchlight II.url
[2012.09.13 15:52:59 | 000,129,576 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avipbb.sys
[2012.09.13 15:52:59 | 000,099,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\SysNative\drivers\avgntflt.sys
[2012.09.09 13:18:28 | 000,000,514 | ---- | M] () -- C:\Users\***\Desktop\qrcode.png
[2012.09.07 17:04:46 | 000,025,928 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.09.06 14:44:25 | 000,053,229 | ---- | M] () -- C:\Users\***\Desktop\packingslip.pdf
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.09.28 10:29:10 | 000,000,712 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.25 17:56:08 | 000,279,279 | ---- | C] () -- C:\Users\***\Desktop\9783797502117.pdf
[2012.09.25 17:37:13 | 000,000,208 | ---- | C] () -- C:\Users\***\Desktop\Borderlands 2.url
[2012.09.22 17:13:22 | 000,000,609 | ---- | C] () -- C:\Users\Public\Desktop\LogMeIn Hamachi.lnk
[2012.09.21 15:25:18 | 000,000,209 | ---- | C] () -- C:\Users\***\Desktop\Torchlight II.url
[2012.09.09 13:18:27 | 000,000,514 | ---- | C] () -- C:\Users\***\Desktop\qrcode.png
[2012.09.06 14:44:25 | 000,053,229 | ---- | C] () -- C:\Users\***\Desktop\packingslip.pdf
[2012.04.06 03:29:34 | 000,204,952 | ---- | C] () -- C:\Windows\SysWow64\ativvsvl.dat
[2012.04.06 03:29:34 | 000,157,144 | ---- | C] () -- C:\Windows\SysWow64\ativvsva.dat
[2012.03.27 23:13:42 | 422,340,560 | ---- | C] () -- C:\Users\***\5on5 intern Team ***.wav
[2012.03.27 23:13:28 | 426,071,120 | ---- | C] () -- C:\Users\***\5on5 intern Team ***.wav
[2012.02.07 23:02:25 | 019,557,200 | ---- | C] () -- C:\Users\***\okulele.wav
[2011.09.13 01:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\SysWow64\atipblag.dat
[2011.06.04 14:59:09 | 000,000,001 | ---- | C] () -- C:\Windows\SysWow64\SI.bin
[2011.06.01 17:27:17 | 000,049,849 | ---- | C] () -- C:\Windows\War3Unin.dat
[2011.05.27 13:36:27 | 000,270,240 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrB.exe
[2011.05.27 13:36:26 | 000,075,136 | ---- | C] () -- C:\Windows\SysWow64\PnkBstrA.exe
[2011.05.27 13:36:25 | 002,337,865 | ---- | C] () -- C:\Windows\SysWow64\pbsvc.exe
[2011.05.24 14:44:25 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.05.24 14:20:22 | 000,001,769 | ---- | C] () -- C:\Windows\Language_trs.ini
[2011.05.24 14:20:18 | 000,031,110 | ---- | C] () -- C:\Windows\Ascd_tmp.ini
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:55:00 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64
 
[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2012.01.04 12:44:25 | 014,172,672 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.01.04 10:59:38 | 012,872,704 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2009.07.14 03:40:51 | 000,909,312 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2009.07.14 03:41:56 | 000,505,856 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

< End of report >

Extras von OTL:

Code:

ATTFilter

OTL Extras logfile created on: 28.09.2012 10:58:27 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Nico\Downloads
64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
8,00 Gb Total Physical Memory | 5,74 Gb Available Physical Memory | 71,82% Memory free
15,99 Gb Paging File | 13,52 Gb Available in Paging File | 84,53% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 47,82 Gb Total Space | 3,10 Gb Free Space | 6,48% Space Free | Partition Type: NTFS
Drive D: | 649,81 Gb Total Space | 405,05 Gb Free Space | 62,33% Space Free | Partition Type: NTFS
Drive E: | 7,04 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF
 
Computer Name: LOKIBRI-DESK | User Name: Nico | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.html[@ = Opera.HTML] -- C:\Program Files (x86)\Opera\Opera.exe (Opera Software)
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
.html [@ = Opera.HTML] -- C:\Program Files (x86)\Opera\Opera.exe (Opera Software)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- D:\Tools\Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files (x86)\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Program Files (x86)\Opera\Opera.exe" "%1" (Opera Software)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Tools\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Tools\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
htmlfile [edit] -- Reg Error: Key error.
htmlfile [print] -- rundll32.exe %windir%\system32\mshtml.dll,PrintHTML "%1"
http [open] -- "C:\Program Files (x86)\Opera\Opera.exe" "%1" (Opera Software)
https [open] -- "C:\Program Files (x86)\Opera\Opera.exe" "%1" (Opera Software)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "D:\Tools\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "D:\Tools\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 0
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{126AA1FC-8449-4B2E-B117-5192C94D625C}" = lport=58542 | protocol=17 | dir=in | name=pando media booster | 
"{1C814DC6-7471-4BDE-9AAB-2D04A12CA0F4}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{248CFA68-4BF7-492B-8F4E-665AE02A9542}" = rport=139 | protocol=6 | dir=out | app=system | 
"{25D1CFE7-F781-46C7-9C47-7823A4EEEAC3}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{3512FC45-2CBE-4C0C-9CA0-9C627891BD3E}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{41CB79C6-4DFB-45FB-85EC-82B60DFB39CF}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{5BF9C9CB-DF50-4D1E-B3F2-BE90C4DADB3D}" = rport=445 | protocol=6 | dir=out | app=system | 
"{5C8C6C3E-CD7F-4D6D-8D90-880F21BB989F}" = lport=58542 | protocol=6 | dir=in | name=pando media booster | 
"{6C667B0B-096D-45F6-AB91-DD11590CC8A3}" = lport=139 | protocol=6 | dir=in | app=system | 
"{75A9E410-758F-4655-8951-036647313C42}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{7FFEA01D-2C63-4C79-9405-09A37350ECA7}" = rport=138 | protocol=17 | dir=out | app=system | 
"{881A02AB-CF73-463C-9243-813A3E8E29E1}" = lport=137 | protocol=17 | dir=in | app=system | 
"{925E4768-5CFA-4A5E-873F-8725CDCA89D6}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{9687B2A0-F05A-455B-979A-6FB77A96C892}" = lport=445 | protocol=6 | dir=in | app=system | 
"{9F4C80EB-33B8-4D25-B39E-C31BECB4F34F}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{B36B4067-6994-4673-B4B3-28198EBF8492}" = rport=137 | protocol=17 | dir=out | app=system | 
"{B3FEDA5E-EF1E-49F1-B617-AAA608A9579D}" = lport=138 | protocol=17 | dir=in | app=system | 
"{B5DE0687-AAF8-481D-82BF-D4536F92D370}" = lport=58542 | protocol=17 | dir=in | name=pando media booster | 
"{BCBBE743-41D0-430D-A35D-87A82F8BC829}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{CA5AEA3D-B5B3-48C1-8F4D-CE7253EFB601}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{D25C4F71-C26E-4253-A8B1-42622E0D9780}" = lport=58542 | protocol=6 | dir=in | name=pando media booster | 
"{D63DEC3D-F2F7-4691-92B4-B03795C79E02}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{DCC612A1-51C2-477A-9C45-F3FD1DC9D04B}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{EC73141A-8268-4AFD-B4B2-36C156B8F118}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{F748DFA2-3994-403F-8294-7C6C05835346}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{0183E8C1-B0B1-4AFE-8C73-AC9A6083AD53}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\portal 2\portal2.exe | 
"{02D6E99B-1788-4E56-BDF7-E9F1459C977F}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\alien swarm\srcds.exe | 
"{039DB967-7F9B-4056-B18C-400DC9E84140}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\brink\brink.exe | 
"{09B4F6BB-62E8-4B46-B8B8-547B2CA015EB}" = protocol=17 | dir=in | app=d:\spiele\ut iii\binaries\ut3.exe | 
"{0D244392-B6C4-4310-93BF-3701BFFE38CF}" = protocol=6 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{0D7D9179-3339-4864-9528-38C22037F308}" = protocol=6 | dir=in | app=c:\program files (x86)\pando networks\media booster\pmb.exe | 
"{1227615D-164F-41E9-8886-2725E59940E4}" = protocol=6 | dir=in | app=d:\spiele\rainbow 6 vegas 2\binaries\r6vegas2_game.exe | 
"{138777C6-94FC-4316-A90F-77CF7B588459}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{15A5FDF2-1944-4FC5-9833-E8594F0A737F}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\alien swarm\srcds.exe | 
"{16D047DC-8AEF-46CB-986B-C2AA5807FA3B}" = protocol=17 | dir=in | app=d:\spiele\stronghold crusader\stronghold crusader.exe | 
"{1D2FC5A2-5B77-4D96-BB5F-45B58E34B75E}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{1D869554-D4AD-4791-9947-56D65ADAB08E}" = protocol=6 | dir=in | app=d:\spiele\rainbow 6 vegas 2\binaries\r6vegas2_launcher.exe | 
"{1F0F5FDB-DB54-4725-BBCC-2591D31F1D68}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\alien swarm\swarm.exe | 
"{2252D571-9186-4B94-910A-CE8B2535A345}" = protocol=6 | dir=in | app=c:\windows\syswow64\pnkbstra.exe | 
"{26229674-CA77-4BB4-B000-157E63C6DBB6}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\magic the gathering dotp 2012\magic_2012.exe | 
"{2CC34140-FB6F-47BA-801A-4C4E8C69DBF5}" = protocol=6 | dir=in | app=c:\windows\syswow64\pnkbstrb.exe | 
"{2DC00AF5-C73E-4B8D-8DB0-3F8E41423757}" = protocol=17 | dir=in | app=c:\program files (x86)\pando networks\media booster\pmb.exe | 
"{343BB04A-C43B-4503-B280-EE2A58FDD50A}" = protocol=6 | dir=in | app=c:\program files (x86)\opera\opera.exe | 
"{3679EE2C-8744-425C-905B-3658D1B285FB}" = protocol=17 | dir=in | app=d:\spiele\coh\reliccoh.exe | 
"{3972A0F9-4C17-4B67-8D5C-C7D95D937805}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{3A14ADC8-0B18-492D-BB53-4CFAE8CD53CD}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{3D0BE768-9BC9-4FCF-92D6-D8E860336D0A}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\trine 2\trine2_launcher.exe | 
"{4068AA58-E5EE-4B8C-84C2-5AB0BA90EF16}" = protocol=58 | dir=in | app=system | 
"{41F1D3E0-54C5-42FC-A4A8-81898D345011}" = protocol=6 | dir=out | app=system | 
"{4336F440-058A-4279-A6ED-4454CC655F6F}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\alan wakes american nightmare\alan_wakes_american_nightmare.exe | 
"{436E0C7E-5D6B-4803-8A3E-24FB3BF6A15F}" = protocol=17 | dir=in | app=c:\program files (x86)\pando networks\media booster\pmb.exe | 
"{43D3C280-93DF-4BB3-BB59-35D809986B61}" = protocol=17 | dir=in | app=d:\spiele\rainbow 6 vegas 2\binaries\r6vegas2_game.exe | 
"{45917AE4-BB39-4C11-B6C7-18EA4EDD6A0D}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{49ADE8F1-89A0-4BC6-BFDB-5CEC16147B08}" = protocol=17 | dir=in | app=d:\spiele\steam\steam.exe | 
"{4A0D8965-F276-4BF6-970F-38592D7E7E98}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\borderlands 2\binaries\win32\launcher.exe | 
"{59AFBA35-ECBA-4D88-9FC6-D8BD630C4770}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\alien swarm\bin\sdklauncher.exe | 
"{5C124F4F-3E6A-4B3C-851A-CD3FF5D06382}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\magic the gathering dotp 2012\magic_2012.exe | 
"{5D51ABBC-7E7D-4B83-BF4D-4293DF5CF9B9}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\alien swarm\swarm.exe | 
"{6056F3D6-2855-40DF-9F0D-3A42BAB50265}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\torchlight ii\torchlight2.exe | 
"{709DF02E-B9CE-4BD6-95A1-23F6D8713409}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\brink\brink.exe | 
"{8168FFBE-A68A-4BFA-AF51-E5858CC9EF81}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\70k1\counter-strike source\hl2.exe | 
"{843B2139-8818-4B31-93CF-5E4EB90F3966}" = protocol=6 | dir=in | app=d:\spiele\stronghold crusader\stronghold crusader.exe | 
"{857FAC91-821B-45D1-840E-C1DC8EEE523C}" = protocol=17 | dir=in | app=d:\spiele\anno 1701\anno1701addon.exe | 
"{859DF984-EDD8-437F-9383-8F40B75E2F75}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{866DA6BA-BF4E-478D-848E-6D2B900DBB61}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\left 4 dead 2\left4dead2.exe | 
"{89F2B989-76EA-407D-8AD5-C1AB5536707E}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\data\encyclopedia\how_to_play.html | 
"{8C09A3A1-EC19-465D-8135-8F3BAE8780BC}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\borderlands 2\binaries\win32\launcher.exe | 
"{8E58809C-C923-4625-BE97-3D6A41039775}" = protocol=6 | dir=in | app=d:\spiele\stronghold\stronghold.exe | 
"{8EC4982B-EA2B-4134-A295-D64615DC296A}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{8F94064F-CC8E-4A53-9F0A-C059F880D105}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{8FC402B4-F865-4DA4-9382-E15D826ED756}" = protocol=17 | dir=in | app=c:\windows\syswow64\pnkbstra.exe | 
"{9032CCE4-7EB7-49D0-B221-7E222F445B68}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\benchmarks\benchmark_specify_properties.bat | 
"{916C8820-C887-4283-89BB-D267E3BB8A34}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{975171A8-5CAE-40CC-B9CD-9A788DC82B82}" = protocol=17 | dir=in | app=c:\program files (x86)\opera\opera.exe | 
"{98ACDBF5-BC1D-48C2-B2D1-A438100B2633}" = protocol=17 | dir=in | app=d:\spiele\rainbow 6 vegas 2\binaries\r6vegas2_launcher.exe | 
"{9C7643F4-8BD9-407A-B0B4-40FF000D5DAD}" = dir=in | app=c:\program files (x86)\pando networks\media booster\pmb.exe | 
"{9D3183E4-ADBC-48C3-9863-051E6C977EA5}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\benchmarks\benchmark_current_settings.bat | 
"{A323EB12-A41A-48CA-8B3F-BA053D0F759F}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\benchmarks\benchmark_specify_properties.bat | 
"{A7A26AB7-3FD8-406B-98A9-109573286873}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{ADFE5FE1-3C81-4100-9BCD-7F7E313A07AD}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\dungeon defenders\binaries\win32\dungeondefenders.exe | 
"{B8F8BD9D-752F-4BF9-8883-733D1F770836}" = protocol=6 | dir=in | app=d:\spiele\stronghold crusader\stronghold_crusader_extreme.exe | 
"{B9E7E323-A4C3-4304-99A2-790C09AB4DF2}" = protocol=17 | dir=out | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{BB73C3B0-C413-43E1-B9F7-AB9758BC3F7D}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{BCE1149D-B3C1-40CB-AB0A-A63F8AB79993}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{C1548A58-FF3E-4954-A000-87C06467054C}" = protocol=17 | dir=in | app=%programfiles(x86)%\windows media player\wmplayer.exe | 
"{C18C485F-D5C9-4773-BE9E-10AE964CF30A}" = protocol=17 | dir=in | app=d:\spiele\stronghold\stronghold.exe | 
"{C5995C6B-C2C7-4E10-9E9B-F810B573F1BB}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\alien swarm\bin\sdklauncher.exe | 
"{C8982062-84F9-42F7-BA4B-61F11350CF3A}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\bloodline champions\binary\bloodlinechampionsloader.exe | 
"{CB11AB5F-9C40-4F28-8FE3-AAFD755CC3BE}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\shogun2.exe | 
"{CC3DD076-FE51-4397-A846-AB38C8EF7CC0}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\shogun2.exe | 
"{CCFBC420-EFE9-4A58-B2D6-E466F7146F11}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\data\encyclopedia\how_to_play.html | 
"{D15A8189-A72F-4A8E-889A-F9AF01AEE254}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{D2F02CA0-3C39-44AF-88F0-3F0975DECE7C}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\alan wakes american nightmare\alan_wakes_american_nightmare.exe | 
"{D5103BF5-E0AC-417D-883D-4BA8790DF7FA}" = protocol=17 | dir=in | app=d:\spiele\coh\relicdownloader\relicdownloader.exe | 
"{D511B3E7-1826-425A-82DA-CBA43618253C}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{E127F6CD-4E15-4595-A9EA-ECC033D32235}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\total war shogun 2\benchmarks\benchmark_current_settings.bat | 
"{E90F4164-1A4B-49E7-BA04-D197A8B43288}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\portal 2\portal2.exe | 
"{E9FC8D20-25D5-4D48-8990-5EC9CAAF9834}" = protocol=6 | dir=in | app=d:\spiele\ut iii\binaries\ut3.exe | 
"{EAC74D29-D8A9-4CD4-B6F9-46BFFF7989AA}" = protocol=17 | dir=in | app=c:\windows\syswow64\pnkbstrb.exe | 
"{ECC7C1BB-01ED-4689-81E6-702E4D90721F}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\alan wake\alanwake.exe | 
"{EF2E9E3D-5F14-49D0-9E2A-6E409D8B7796}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\fable the lost chapters\fable.exe | 
"{EF529744-F4AA-4C3D-907D-E285FB180BF1}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\bloodline champions\binary\bloodlinechampionsloader.exe | 
"{EFDFD2DA-12AF-4F2E-A71C-F79B434A8F8B}" = protocol=6 | dir=in | app=c:\program files (x86)\pando networks\media booster\pmb.exe | 
"{F03E1226-7D1D-4F2A-AE4E-F0F93A8E741D}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\torchlight ii\torchlight2.exe | 
"{F1C9B098-4407-488B-85DF-29B2BE01E017}" = protocol=6 | dir=in | app=d:\spiele\steam\steam.exe | 
"{F24AE179-C459-4D39-A304-33319CFC0811}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\fable the lost chapters\fable.exe | 
"{F419508F-576D-4CCE-B2B4-DF43AE9869EC}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\trine 2\trine2_launcher.exe | 
"{F4348847-A3FF-4B6D-9CF0-480338471863}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\70k1\counter-strike source\hl2.exe | 
"{F4D139D9-44DD-4E9A-AAF5-B4CC0311C7C6}" = protocol=6 | dir=in | app=d:\spiele\coh\relicdownloader\relicdownloader.exe | 
"{F561D9E9-9656-4B09-A1FC-4D2E3B919EF7}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\left 4 dead 2\left4dead2.exe | 
"{F5D7AEE4-A1EA-4C5E-9E67-2FDA2B93AA93}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{F81F5124-2AD2-42CF-A3C7-83ACC7E856F7}" = protocol=6 | dir=in | app=d:\spiele\coh\reliccoh.exe | 
"{F9212F29-C0A9-450E-875D-8D02973B2C0E}" = protocol=17 | dir=in | app=d:\spiele\steam\steamapps\common\dungeon defenders\binaries\win32\dungeondefenders.exe | 
"{F9659809-2B29-4D3E-8F5A-131E763CBA80}" = protocol=6 | dir=in | app=d:\spiele\anno 1701\anno1701addon.exe | 
"{FD0E6EB2-1B56-41E6-96DD-6EE57306153E}" = protocol=17 | dir=in | app=d:\spiele\stronghold crusader\stronghold_crusader_extreme.exe | 
"{FD6993B7-92E9-441B-8CED-785D8D963854}" = protocol=6 | dir=in | app=d:\spiele\steam\steamapps\common\alan wake\alanwake.exe | 
"{FE61C3BD-F832-4943-86A5-19B6D87F1273}" = protocol=58 | dir=out | name=@iphlpsvc.dll,-503 | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0CC4F67D-D41D-8C1A-C605-39154DDEAC63}" = AMD Fuel
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP560_series" = Canon MP560 series MP Drivers
"{23170F69-40C1-2702-0920-000001000000}" = 7-Zip 9.20 (x64 edition)
"{27607A94-33AC-4AA7-AACE-95AF6ACA3E30}" = Logitech G35
"{2E8D6204-D656-8355-1ED3-2988AC52EB0F}" = ccc-utility64
"{3D33F6F0-4D90-484D-A1D9-09AE791CCBD9}" = Eraser 6.0.9.2343
"{503F672D-6C84-448A-8F8F-4BC35AC83441}" = AMD APP SDK Runtime
"{5831C6D6-309D-DBB5-14F7-FEE57086CEE7}" = AMD Catalyst Install Manager
"{5DF57DB1-D971-3DA3-B4BB-F6FC7D73A997}" = AMD Drag and Drop Transcoding
"{63CE6C32-1EB3-4C51-89FC-9FD96A661A9C}" = AMD Media Foundation Decoders
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{DA5E371C-6333-3D8A-93A4-6FD5B20BCC6E}" = Microsoft Visual C++ 2010  x64 Redistributable - 10.0.30319
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"{FD8E178D-8B4E-42DA-B434-EFF270329B1C}" = COMODO Internet Security
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"sp6" = Logitech SetPoint 6.30
"TeamSpeak 3 Client" = TeamSpeak 3 Client
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{03D4C700-2BFE-43E0-A0B4-9512B43C5B9F}" = Catalyst Control Center - Branding
"{048298C9-A4D3-490B-9FF9-AB023A9238F3}" = Steam
"{0D994CC5-819F-4657-84DD-397B8FE1EA80}" = Star Wars Jedi Knight Jedi Academy
"{14574B7F-75D1-4718-B7F2-EBF6E2862A35}" = Company of Heroes - FAKEMSI
"{199E6632-EB28-4F73-AECB-3E192EB92D18}" = Company of Heroes - FAKEMSI
"{19BFDA5D-1FE2-4F25-97F9-1A79DD04EE20}" = Microsoft XNA Framework Redistributable 3.1
"{19D614EB-D62A-AEE7-2391-E74126601D59}" = CCC Help Italian
"{1C373820-B9C8-0F7F-8F84-FC1B76A85F27}" = CCC Help Portuguese
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20071984-5EB1-4881-8EDB-082532ACEC6D}" = Heroes of Might and Magic V
"{20D4A895-748C-4D88-871C-FDB1695B0169}" = Platform
"{25724802-CC14-4B90-9F3B-3D6955EE27B1}" = Company of Heroes - FAKEMSI
"{26A24AE4-039D-4CA4-87B4-2F83217001FF}" = Java(TM) 7 Update 1
"{2D35BC33-7D08-D529-DF91-8A15FBF2600E}" = CCC Help Polish
"{32C4A4EB-C97D-414E-99C5-38F8DFD31D5D}" = Company of Heroes - FAKEMSI
"{337788D1-43D1-9A0F-9787-DD00DB512D41}" = Catalyst Control Center Localization All
"{378BA9B5-DB6C-41DB-BE93-86CD198A8A9E}" = Guild 2 King's Edition
"{3EE9BCAE-E9A9-45E5-9B1C-83A4D357E05C}" = eReg
"{4725833D-4325-5C34-57D4-1FE23E5AE578}" = CCC Help Chinese Standard
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4B271648-43CB-DD31-FF24-E7B06D3EE72A}" = Catalyst Control Center InstallProxy
"{4DC37F33-7AEC-A4CB-56B1-69A402828763}" = CCC Help Japanese
"{4F64A46D-67F7-4497-AEA2-313D4305A5F6}" = Torchlight
"{50193078-F553-4EBA-AA77-64C9FAA12F98}" = Company of Heroes - FAKEMSI
"{51D718D1-DA81-4FAD-919F-5C1CE3C33379}" = Company of Heroes - FAKEMSI
"{5710DAC2-8F2A-503C-CFC2-A973ADE0EA4C}" = CCC Help Czech
"{5C763682-4C40-86DA-9C46-31924D7D2C34}" = CCC Help Thai
"{60E5022D-FA4B-C6A2-1E80-B46EC39096F3}" = CCC Help Chinese Traditional
"{60F34FDF-267C-408F-290E-EC90D841C8CB}" = CCC Help German
"{6231FDA0-7E6F-11D4-A671-006008D09831}" = Sacrifice
"{66B79AE1-C6E2-B958-689C-D0812DE86BAB}" = CCC Help Greek
"{66F78C51-D108-4F0C-A93C-1CBE74CE338F}" = Company of Heroes - FAKEMSI
"{66FF4C48-0083-4E60-8556-B883AB200091}" = Heroes of Might & Magic V: Hammers of Fate
"{66FF4C48-0083-4E60-8556-B883AB200092}" = Heroes of Might and Magic V - Tribes of the East
"{6A9EF6CF-7630-4E33-AE22-7D70F3AF4B05}" = AION Free-To-Play
"{6B39BE0F-0F5E-A8FA-33E4-8481AE39D96C}" = CCC Help Russian
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{74A84478-70A5-4F7A-966C-FA2771FF91A5}_is1" = Patch v2.2
"{7F4B1592-222F-4E5F-A100-E5AFD61A0BB3}" = Company of Heroes - FAKEMSI
"{80D03817-7943-4839-8E96-B9F924C5E67D}" = Company of Heroes - FAKEMSI
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller Driver For Windows 7
"{8C3727F2-8E37-49E4-820C-03B1677F53B6}" = Stronghold Crusader Extreme
"{8DC910CD-8EE3-4ffc-A4EB-9B02701059C4}" = Battlefield Heroes
"{8E19F2AF-7145-51DE-E395-7729A9374973}" = Catalyst Control Center Graphics Previews Common
"{905D4F6B-FADC-4CA4-AA41-BD32A2E446CE}" = Anno 1701 - Der Fluch des Drachen
"{918A9082-6287-4D25-9002-5E5D5E4971CB}" = League of Legends
"{91CB5B8B-4EC8-DBA1-A88D-99FD480567B0}" = CCC Help English
"{924FBAC4-60D2-7981-3C3E-979DF9CBB346}" = CCC Help Finnish
"{97E5205F-EA4F-438F-B211-F1846419F1C1}" = Company of Heroes - FAKEMSI
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{99A7722D-9ACB-43F3-A222-ABC7133F159E}" = Company of Heroes - FAKEMSI
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9DC939DC-B7A4-D0E2-C582-A442DF1B3EBE}" = CCC Help Spanish
"{A1BD938B-F006-6E6D-70B2-47E1DD56F7DE}" = CCC Help Swedish
"{A2433A63-5F5D-40E5-B529-9123C2B3E734}" = Anno 1701
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B45FABE7-D101-4D99-A671-E16DA40AF7F0}" = Microsoft Games for Windows - LIVE
"{B578C85A-A84C-4230-A177-C5B2AF565B8C}" = Microsoft Games for Windows - LIVE Redistributable
"{B83FC356-B7C0-441F-8A4D-D71E088E7974}" = NVIDIA PhysX
"{B8ABD8C7-991E-4A70-B5A3-20C6FC680680}" = LogMeIn Hamachi
"{BA801B94-C28D-46EE-B806-E1E021A3D519}" = Company of Heroes - FAKEMSI
"{BABF7852-C2DD-6A8A-9956-101720C715C7}" = CCC Help Turkish
"{BB7C2A56-9706-43B8-5A8C-210AF5816106}" = CCC Help French
"{C917BA70-28A3-4C74-B163-41FD8C8E1A5A}" = Stronghold
"{CFC2CB60-5654-05A7-4D30-C661800A3A92}" = CCC Help Korean
"{D04CE005-D1D2-80F3-84C8-B3524FCD39C3}" = CCC Help Norwegian
"{D45EC259-4A19-4656-B588-C2C360DD18EA}" = Half-Life(R) 2
"{D4D244D1-05E0-4D24-86A2-B2433C435671}" = Company of Heroes - FAKEMSI
"{D544AE4C-4152-225B-A897-6756C8986B14}" = AMD VISION Engine Control Center
"{D7BF9739-8A68-4335-BBEE-37752AD9E86B}" = NEC Electronics USB 3.0 Host Controller Driver
"{D81E9069-3CCC-4405-3751-71E4AFEACC52}" = CCC Help Hungarian
"{DAB0D352-00D9-4795-9FBE-EC4791ABA44A}" = Section 8 PCW
"{E93FF166-DF14-2537-8FB4-96BB5810A96C}" = CCC Help Danish
"{EAF636A9-F664-4703-A659-85A894DA264F}" = Company of Heroes - FAKEMSI
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F138762F-5A1F-4CF0-A5E1-1588EF6088A4}" = The Witcher Enhanced Edition
"{F7963BA0-EE1C-11D4-9FA5-00A0C9E6A342}" = Commandos 2: Men of Courage
"{FA9827E1-8A8E-C176-4923-0840A67ED4DE}" = CCC Help Dutch
"{FD416706-875C-4B0B-A23A-9E740DAE029E}" = Tom Clancy's Rainbow Six Vegas 2
"{FDBBAF14-5ED8-49B7-A5BE-1C35668B074D}" = Unreal Tournament 3 (LG)
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{THEGUILDREN-0010-2010-300520102330}_is1" = The Guild 2 - Renaissance
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Audacity_is1" = Audacity 1.2.6
"Avira AntiVir Desktop" = Avira Free Antivirus
"Canon MP560 series Benutzerregistrierung" = Canon MP560 series Benutzerregistrierung
"Canon_IJ_Network_Scan_UTILITY" = Canon IJ Network Scan Utility
"Canon_IJ_Network_UTILITY" = Canon IJ Network Tool
"CanonMyPrinter" = Canon Utilities My Printer
"Company of Heroes" = Company of Heroes
"Diablo III" = Diablo III
"Divinity II - Ego Draconis_is1" = Divinity II - Ego Draconis
"Drakensang_is1" = Drakensang
"Guild Wars 2" = Guild Wars 2
"hon" = Heroes of Newerth
"InstallShield_{20D4A895-748C-4D88-871C-FDB1695B0169}" = VIA Plattform-Geräte-Manager
"InstallShield_{6A9EF6CF-7630-4E33-AE22-7D70F3AF4B05}" = AION Free-To-Play
"InstallShield_{D7BF9739-8A68-4335-BBEE-37752AD9E86B}" = NEC Electronics USB 3.0 Host Controller Driver
"InstallShield_{DAB0D352-00D9-4795-9FBE-EC4791ABA44A}" = Section 8 PCW
"LogMeIn Hamachi" = LogMeIn Hamachi
"LOLReplay" = LOLReplay
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"MobileForces" = Mobile Forces
"Mozilla Firefox 4.0.1 (x86 de)" = Mozilla Firefox 4.0.1 (x86 de)
"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)
"NCLauncher_GameForge" = NC Launcher (GameForge)
"Opera 11.50.1074" = Opera 11.50
"PunkBusterSvc" = PunkBuster Services
"S2TNG" = Die Siedler II - Die nächste Generation
"StarCraft II" = StarCraft II
"Steam App 10" = Counter-Strike
"Steam App 108710" = Alan Wake
"Steam App 200710" = Torchlight II
"Steam App 202750" = Alan Wake's American Nightmare
"Steam App 204030" = Fable - The Lost Chapters
"Steam App 22350" = Brink
"Steam App 34330" = Total War: SHOGUN 2
"Steam App 35720" = Trine 2
"Steam App 49470" = Magic: The Gathering — Duels of the Planeswalkers 2012
"Steam App 49520" = Borderlands 2
"Steam App 550" = Left 4 Dead 2
"Steam App 620" = Portal 2
"Steam App 630" = Alien Swarm
"Steam App 6370" = Bloodline Champions
"Steam App 640" = Alien Swarm - SDK
"Steam App 65800" = Dungeon Defenders
"Trine_is1" = Trine
"VASSAL (3.1.19)" = VASSAL (3.1.19)
"VLC media player" = VLC media player 1.1.9
"Warcraft III" = Warcraft III
"Winamp" = Winamp
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"CGoban 3" = CGoban 3
"InstallShield_{FDBBAF14-5ED8-49B7-A5BE-1C35668B074D}" = Unreal Tournament 3 (LG)
"Mozilla Firefox 15.0.1 (x86 de)" = Mozilla Firefox 15.0.1 (x86 de)
"Mozilla Thunderbird 15.0.1 (x86 de)" = Mozilla Thunderbird 15.0.1 (x86 de)
"Warcraft III" = Warcraft III: All Products
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 25.09.2012 15:42:05 | Computer Name = Lokibri-Desk | Source = Microsoft-Windows-CAPI2 | ID = 4101
Description = Fehler bei der automatischen Aktualisierung des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/503006091D97D4F5AE39F7CBE7927D7D652D3431.crt>.
 Fehler: Der angegebene Server kann den angeforderten Vorgang nicht ausführen.  .
 
Error - 25.09.2012 15:42:05 | Computer Name = Lokibri-Desk | Source = Microsoft-Windows-CAPI2 | ID = 4101
Description = Fehler bei der automatischen Aktualisierung des Drittanbieterstammzertifikats
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/503006091D97D4F5AE39F7CBE7927D7D652D3431.crt>.
 Fehler: Der angegebene Server kann den angeforderten Vorgang nicht ausführen.  .
 
Error - 25.09.2012 15:44:05 | Computer Name = Lokibri-Desk | Source = Application Hang | ID = 1002
Description = Programm Borderlands2.exe, Version 1.0.35.4706 kann nicht mehr unter
 Windows ausgeführt werden und wurde beendet. Überprüfen Sie den Problemverlauf 
in der Wartungscenter-Systemsteuerung, um nach weiteren Informationen zum Problem
 zu suchen.    Prozess-ID: f98    Startzeit: 01cd9b5601bf8450    Endzeit: 21    Anwendungspfad: 
D:\Spiele\Steam\steamapps\common\Borderlands 2\Binaries\Win32\Borderlands2.exe    Berichts-ID:
 5ba80310-0749-11e2-aa29-e0cb4ececa0d  
 
Error - 26.09.2012 15:40:07 | Computer Name = Lokibri-Desk | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0,
 Zeitstempel: 0x4f7e4d8c  Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0,
 Zeitstempel: 0x4f55e10b  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00000000000033c1
ID
 des fehlerhaften Prozesses: 0x6a0  Startzeit der fehlerhaften Anwendung: 0x01cd9c018130bf10
Pfad
 der fehlerhaften Anwendung: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
Pfad
 des fehlerhaften Moduls: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll
Berichtskennung:
 f920cf57-0811-11e2-8285-e0cb4ececa0d
 
Error - 27.09.2012 12:43:56 | Computer Name = Lokibri-Desk | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\Spiele\Steam\steamapps\common\total
 war shogun 2\redist\flashsecurity.exe".  Die abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.6195""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 27.09.2012 12:43:57 | Computer Name = Lokibri-Desk | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\Spiele\Steam\steamapps\common\total
 war shogun 2\redist\flashsecurity1.exe".  Die abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.6195""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 27.09.2012 12:44:50 | Computer Name = Lokibri-Desk | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\Tools\spybot
 - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "d:\Tools\spybot
 - search & destroy\DelZip179.dll" in Zeile 8.  Der Wert "*" des "language"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
Error - 27.09.2012 21:36:15 | Computer Name = Lokibri-Desk | Source = Application Error | ID = 1000
Description = Name der fehlerhaften Anwendung: Fuel.Service.exe, Version: 1.0.0.0,
 Zeitstempel: 0x4f7e4d8c  Name des fehlerhaften Moduls: Device.dll, Version: 4.1.0.0,
 Zeitstempel: 0x4f55e10b  Ausnahmecode: 0xc0000005  Fehleroffset: 0x00000000000033c1
ID
 des fehlerhaften Prozesses: 0x6a8  Startzeit der fehlerhaften Anwendung: 0x01cd9d185cd48677
Pfad
 der fehlerhaften Anwendung: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
Pfad
 des fehlerhaften Moduls: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll
Berichtskennung:
 e4133b81-090c-11e2-b1d8-e0cb4ececa0d
 
Error - 28.09.2012 00:11:07 | Computer Name = Lokibri-Desk | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\Spiele\Steam\steamapps\common\total
 war shogun 2\redist\flashsecurity.exe".  Die abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.6195""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 28.09.2012 00:11:07 | Computer Name = Lokibri-Desk | Source = SideBySide | ID = 16842785
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\Spiele\Steam\steamapps\common\total
 war shogun 2\redist\flashsecurity1.exe".  Die abhängige Assemblierung "Microsoft.VC80.CRT,processorArchitecture="x86",publicKeyToken="1fc8b3b9a1e18e3b",type="win32",version="8.0.50727.6195""
 konnte nicht gefunden werden.  Verwenden Sie für eine detaillierte Diagnose das Programm
 "sxstrace.exe".
 
Error - 28.09.2012 00:11:43 | Computer Name = Lokibri-Desk | Source = SideBySide | ID = 16842815
Description = Fehler beim Generieren des Aktivierungskontextes für "d:\Tools\spybot
 - search & destroy\DelZip179.dll". Fehler in Manifest- oder Richtliniendatei "d:\Tools\spybot
 - search & destroy\DelZip179.dll" in Zeile 8.  Der Wert "*" des "language"-Attributs
 im assemblyIdentity-Element ist ungültig.
 
[ System Events ]
Error - 26.09.2012 15:42:00 | Computer Name = Lokibri-Desk | Source = DCOM | ID = 10016
Description = 
 
Error - 27.09.2012 11:34:51 | Computer Name = Lokibri-Desk | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AODDriver4.1" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2012 11:34:59 | Computer Name = Lokibri-Desk | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AODDriver4.1" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2012 21:27:02 | Computer Name = Lokibri-Desk | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AODDriver4.1" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2012 21:28:10 | Computer Name = Lokibri-Desk | Source = DCOM | ID = 10016
Description = 
 
Error - 27.09.2012 21:36:15 | Computer Name = Lokibri-Desk | Source = Service Control Manager | ID = 7034
Description = Dienst "AMD FUEL Service" wurde unerwartet beendet. Dies ist bereits
 1 Mal passiert.
 
Error - 27.09.2012 21:36:58 | Computer Name = Lokibri-Desk | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AODDriver4.1" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2012 21:37:01 | Computer Name = Lokibri-Desk | Source = Service Control Manager | ID = 7000
Description = Der Dienst "AODDriver4.1" wurde aufgrund folgenden Fehlers nicht gestartet:
   %%2
 
Error - 27.09.2012 21:38:07 | Computer Name = Lokibri-Desk | Source = DCOM | ID = 10016
Description = 
 
Error - 27.09.2012 21:41:20 | Computer Name = Lokibri-Desk | Source = volsnap | ID = 393252
Description = Die Schattenkopien von Volume "C:" wurden abgebrochen, weil der Schattenkopiespeicher
 nicht auf ein benutzerdefiniertes Limit vergrößert werden konnte.
 
 
< End of report >

Nun bin ich etwas überfragt, was zu tun ist. Noch eine kleine Anmerkung: Ich habe das Gefühl, dass auf Festplatte C ständig neue Daten draufgespielt werden, obwohl ich dort nichts installiere (macht das vielleicht Steam?). Zudem ist dort ein Ordner mit leerem Inhalt namens "Vritual Root".

Ich hoffe ihr könnt mir helfen, da momentan sichdoch die Fehler häufen bei meinem Rechner.

Vielen Dank im Vorraus.

Lokibri

t'john · 28.09.2012, 11:04

Vermutlich ein Fehlalarm

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Lokibri · 28.09.2012, 13:21

Hallo tjohn,
anbei die gewünschten Suchergebnisse:

Code:

ATTFilter

Emsisoft Anti-Malware - Version 7.0
Letztes Update: 28.09.2012 12:56:01

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\

Riskware-Erkennung: Aus
Archiv Scan: An
ADS Scan: An
Dateitypen-Filter: Aus
Erweitertes Caching: An
Direkter Festplattenzugriff: Aus

Scan Beginn:	28.09.2012 12:59:37


Gescannt	583245
Gefunden	0

Scan Ende:	28.09.2012 14:13:32
Scan Zeit:	1:13:55

Was mache ich nun mit dem Fund von AntiVir? (Das Ding aus WinAmp kann ruhig gelöscht werden, fang ich nichts mit an)

Sollte ich HijackThis nochmal drüber laufen lassen?

Und noch eine Sache vorweg: Danke für die tolle hilfe im Forum! Ihr seid vergleichbar mit Ärzten, nur für PCs

. Ihr habt mir bei der Info-Suche schon so einige male geholfen!

Beste Grüße,
Lokibri.

t'john · 28.09.2012, 14:35

Im Logfile sehe ich keinen Fund bei Winamp nur bei Steam.

Deinstalliere Spybot.
Reinstalliere deine Grafiktreiber (Ati)

Lokibri · 28.09.2012, 15:03

Ja, ich entschuldige die Wirrungen. Ich hab keine Ahnung wie ich auf WinAmp kam... Im Zuge geistiger Umnachtung und Übermüdung bitte ich dies zu entschuldigen.

Eine kurze Frage: Zu welchem Zweck soll ich Spybot deinstallieren und die Grafiktreiber neu installieren? Ich mache das gern, wollte nur wissen ob ich dann nochmal einen Suchlauf durchführen muss oder was dies bezwecken soll.

Beste Grüße und großen Dank,
Lokibri.

t'john · 28.09.2012, 15:15

Zitat:

Ja, ich entschuldige die Wirrungen. Ich hab keine Ahnung wie ich auf WinAmp kam... Im Zuge geistiger Umnachtung und Übermüdung bitte ich dies zu entschuldigen.

Kein Problem

Zitat:

Eine kurze Frage: Zu welchem Zweck soll ich Spybot deinstallieren und die Grafiktreiber neu installieren?

Spybot ist Unsinn. Nutzlose Software.

Treiber haben Fehler verursacht:

Zitat:

ID
des fehlerhaften Prozesses: 0x6a8 Startzeit der fehlerhaften Anwendung: 0x01cd9d185cd48677
Pfad
der fehlerhaften Anwendung: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe
Pfad
des fehlerhaften Moduls: C:\Program Files\ATI Technologies\ATI.ACE\Fuel\Device.dll
Berichtskennung:
e4133b81-090c-11e2-b1d8-e0cb4ececa0d

28.09.2012, 14:35	#4
t'john /// Helfer-Team	TR/Crypt.XPACK.gen im WinAmp Ordner entdeckt Im Logfile sehe ich keinen Fund bei Winamp nur bei Steam. Deinstalliere Spybot. Reinstalliere deine Grafiktreiber (Ati) __________________ Mfg, t'john Das TB unterstützen

TR/Crypt.XPACK.gen im WinAmp Ordner entdeckt

Plagegeister aller Art und deren Bekämpfung: TR/Crypt.XPACK.gen im WinAmp Ordner entdeckt